Cisco IOS Firewall et IPS

Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS FFS (Firewall Feature Set). Les fonction de cet IOS sont :

• Cisco IOS Firewall : Les paquets sont inspectés dans ce composant s'ils ne sont pas explicitement bloqués par une ACL. Le firewall procède à un filtrage stateful, qui implique l'utilisation d'une table de sessions à partir de laquelle il se base pour créer/supprimer dynamiquement des ACLs (afin de permettre es retours). Une protection DoS est également active.
• Authentication proxy : le routeur est capable d'intercepter une ouverture de session HTTP, HTTPS, FTP ou Telnet afin d'authentifier les utilisateurs.
• IPS (Intrusion Prevention System) : le routeur contient des signatures d'attaques qu'il détecte afin de les bloquer/émettre une alerte.

• CBAC (Content-Based Access Control) = stateful filtering
• ALG (Application Layer Gateway) = proxy applicatif

Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL de l'interface.

ip inspect name FW tcp
!
interface fa0/0
 ip access-groupe 101 in
 ip inspect FW in

Pour activer les alertes en temps réel avec un syslog :

logging on
logging host 10.0.0.111
ip inspect audit-trail
no ip inspect alert-off

Inspection avancée pour certains protocoles :

ip inspect name FW smtp alert on audit-trail on timeout 300
ip inspect name FW ftp alert on audit-trail on timeout 300

Le paramètre timeout indique le temps de vie d'une session idle (san trafic) avant d'être supprimée.

La SDM dispose d'un assistant simplifiant la configuration du firewall.

Vérifs :

show ip inspect session
debug ip inspect [..]

• IDS (Intrusion Detection System)

Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'alertes)

• IPS (Intrusion Prevention System)

Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu)

Les IPS et IDS peuvent être implantés sur le réseau (Netowrk-IPS ou NIPS) ou sur une machine (Host-IPS ou HIPS).

Il existe différentes approches de détection de trafic malicieux : signature-based, policy-based, anomaly-based, honeypot.

• SDF (Signature Definition Files) = fichiers qui contiennent des signatures. On peut les merger en un seul fichier appelé par le routeur au démarrage.
• SDEE (Security Device Event Exchange) : cela spécifie le format des messages de log entre l'IPS/IDS et le serveur de monitoring/log.

Configuration :

ip ips sdf location flash:signatures.sdf
ip ips fail-closed
ip ips name SECURIPS list 100
!
interface et0/0
 ip ips SECURIPS in

Lorsqu'on modifie la base de signatures, par exemple en faisant un merge d'un nouveau fichier de signatures, il faut réappliquer la politique (SECURIPS) sur l'interface.